Microsoft обнаружила крупномасштабную малвертайзинг-кампанию, поразившую миллион Windows-устройств

CyberSecureFox 🦊

Специалисты Microsoft выявили масштабную кампанию по распространению вредоносной рекламы (малвертайзинг), которая затронула около миллиона устройств под управлением Windows. Злоумышленники использовали сложную многоступенчатую схему для кражи конфиденциальных данных, учетных записей и криптовалютных активов пользователей.

Механизм распространения вредоносной рекламы

Кампания стартовала в декабре 2024 года, когда атакующие начали размещать вредоносную рекламу на пиратских стриминговых платформах, включая movies7[.]net и 0123movie[.]art. Злоумышленники внедряли специальные редиректоры, монетизируя трафик через рекламные сети и платежные системы.

Техническая реализация атаки

Вредоносные iframe-элементы инициировали цепочку перенаправлений через промежуточные ресурсы, включая поддельные сайты технической поддержки. Конечной точкой становились GitHub-репозитории, содержащие различные вредоносные компоненты. Для распространения малвари также использовались платформы Discord и Dropbox.

Многоэтапное развертывание вредоносного ПО

На начальном этапе атаки производился сбор технической информации об устройстве жертвы для оптимизации последующих действий. Далее происходило отключение защитного ПО, установление связи с командными серверами и внедрение вредоноса NetSupport. Особую опасность представляло использование легитимных цифровых подписей — Microsoft выявила и отозвала 12 скомпрометированных сертификатов.

Масштаб и последствия атаки

Кампания носила неизбирательный характер, затрагивая как частных пользователей, так и организации. Основными инструментами похищения данных выступали стилер Lumma и его открытый аналог Doenerium. Вредоносное ПО целенаправленно искало браузерные данные, включая cookies, пароли и историю посещений, а также проверяло наличие криптовалютных кошельков различных типов (Ledger Live, Trezor Suite, KeepKey и других).

Данный инцидент демонстрирует растущую изощренность киберпреступников в использовании легитимных рекламных сетей и платформ для распространения вредоносного ПО. Для защиты рекомендуется избегать посещения сомнительных ресурсов, регулярно обновлять защитное ПО и использовать многофакторную аутентификацию для критически важных сервисов.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.